加州律法是否会保护你的企业？

目前，CPRA已经生效，企业关注的问题之一是“什么是企业的CCPA阈值测试的修改”，以及根据企业对企业和员工个人信息的新合规要求，该修改对小企业（例如年收入低于2500万美元的小企业）的影响。

与欧盟或英国通用数据保护条例不同，并非所有企业都必须遵守CCPA。非营利组织是从CCPA中分离出来的，它们在GDPR中被涵盖。界定小企业的界限并不明确。

CCPA由三部分阈值测试构成，用于确定是否需要合规性。如果一个企业符合这三个部分中的任何一个，那么它必须遵守法规。

似乎更容易解决的部分是收入和数据代理阈值。如果一家企业的年收入超过2500万美元，或从个人信息销售中获得50%及以上的收入，通常这些被称为数据经纪人，则其由CCPA负责。

第三个阈值涉及与业务相关的个人信息记录的数量或“计数”。这是分析更复杂的地方。

以下是此阈值的两个版本：

1月1日前生效的原始CCPA版本为：“（B）根据《加利福尼亚州民法典》1798.140，单独或联合，每年为商业目的购买、接收、出售或分享50,000或更多消费者、家庭或设备的个人信息”。

1月1日生效的CPRA修订版CCPA中写道：“（B）每年单独或联合购买、出售或分享100,000或以上消费者或家庭的个人信息”。代码1798.140。

2019年10月，我与人合着了《CCPA神话破坏者：并非所有记录都算数》一文，该文分析了最初的CCPA门槛，并质疑商业目的是否与商业目的同时存在。评论者将“商业”和“商业目的”混为一谈，以至于大多数营利性网站都被视为CCPA所涵盖。我和我的合着者对这个定义的看法比大多数评论家都狭隘。

CPRA修改版的CCPA删除了任何商业或商业目的的引用，以及基于个人信息记录计数的业务阈值测试中“接收”的引用。修订后的测试是企业是否购买、出售或共享个人信息。

自1月1日起，企业对企业和员工个人信息被纳入修订版CCPA，这大大提高了合规要求，尤其是对小公司。

总结如下

加利福尼亚州是美国的一个例外，因为弗吉尼亚州、科罗拉多州、康涅狄格州和犹他州的四项新隐私法豁免了这些类型的个人信息。

对于年收入低于2500万美元的小企业，这一解释可能意味着成本和资源的大幅减少。当然，企业必须进行适当的分析，以确定其不符合CPRA规定的“什么是企业”三个阈值中的任何一个，然后才能决定经CPRA修改的CCPA不适用于其业务。

*文章来源：iapp官网

*原标题：CPRA 修改后的 CCPA 是否适用于您的企业？ 

*整理编辑：A隐小私(yinxiaosi00)

IAPP是一个非营利组织，致力于在全球范围内帮助定义、促进和改进隐私专业，这也就是国内法律和合规从业者口中常说的国际隐私专业认证协会。

IAPP协会主要开展注册信息隐私专家（CIPP）,注册信息隐私管理师（CIPM）和注意信息隐私技术专家（CIPT）等认证。

注册信息隐私专家CIPP/E证书

当你选择了一个领域，并且掌握把控住它的价值时，它已经成为了你的隐形资产。成为数据合规官，它将为你打造更广阔的信息隐私安全就业平台，助你成为不可或缺的职场精英。

-End-

#IAPP国际隐私专业保护认证培训#

扫描下方二维码咨询详情

IAPP认证（国际隐私专业保护认证）

IAPP三大方向（CIPP/CIPT/CIPT）

DASCA认证（美国数据科学委员会认证）

备考经验分享｜全球隐私动态｜

干货分享｜考试资讯

■ DEPTH 

想了解IAPP哪个证书适合你？

 IAPP更多考试内容以及精选题库？

CIPP,CIPM,CIPT三大认证区别？

 如何申请考证相关？

 国内具体考点及如何定考位？

......

识别下方二维码

为你一一解答

资格评估可直接扫码

免费评估/赠送一份国际隐私认证学习资料一份

▼关注隐私合规交流圈，最新考试政策资讯抢先看▼

戳这，领取IAPP备考资料包